Exploração da Política de Mesma Origem (SOP) do Android permite que hackers sequestram suas contas do Facebook

Tabela de Conteúdos

• A Exploração da Política de Mesma Origem (SOP) do Android está sendo usada para sequestrar contas do Facebook
• O Bug

A Exploração da Política de Mesma Origem (SOP) do Android está sendo usada para sequestrar contas do Facebook

Um bug legado da Política de Mesma Origem (SOP) do Android, descoberto pelo pesquisador paquistanês Rafay Baloch, está sendo usado de forma muito mais ampla, de acordo com uma nova pesquisa publicada pelos TrendMicro Labs. O pesquisador da Trend Micro, Simon Huang, afirma que descobriram muitos casos de usuários do Facebook sendo alvos de ataques que exploram essa falha no navegador da OS Android inferior a 4.4, porque o código do Metasploit está disponível publicamente e muitos fabricantes de Android ainda não corrigiram esse bug.

O Bug

O bug, descoberto por Rafay Baloch, permite uma vulnerabilidade universal de Cross-scripting em versões mais antigas de smartphones Android. Essa vulnerabilidade, que afeta o componente WebView, ocorre ao substituir o atributo ‘data’ de um determinado objeto HTML por um esquema de URL JavaScript. Um atacante pode aproveitar a falha UXSS para extrair dados de cookies e conteúdos de página de uma janela de navegador vulnerável. O buraco de segurança pode ser explorado em todas as versões do navegador da Android Open Source Platform (AOSP), incluindo aquelas que usam WebView.

A Rapid7 publicou o código do Metasploit (link dado acima) para essa falha e o mesmo está sendo usado publicamente por atacantes para servir às vítimas um arquivo JavaScript malicioso armazenado em uma conta de armazenamento em nuvem. Isso é feito direcionando o alvo para uma certa página do Facebook que leva a um local malicioso. O pesquisador da Trend, Huang, afirma que a página contém código JavaScript ofuscado que tenta carregar uma URL do Facebook em um quadro interno.

A vítima, no entanto, vê apenas uma página em branco sendo carregada de acordo com as tags div definidas pelo atacante em HTML, enquanto o quadro interno será mostrado em um pixel.

Huang afirma que, com o malware em funcionamento, o atacante pode fazer quase qualquer coisa com a conta do Facebook da vítima. O código JavaScript pode realizar as seguintes atividades com a conta do Facebook das vítimas:

• Adicionar amigos
• Curtir e seguir páginas do Facebook
• Modificar assinaturas
• Autorizar um aplicativo do Facebook a acessar o perfil público do usuário, lista de amigos, informações de aniversário, curtidas e curtidas dos amigos
• Roubar os tokens de acesso da vítima e enviá-los para seu servidor em https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;
• Coletar dados analíticos (como localização das vítimas, HTTP referrer, etc.) usando o serviço legítimo em https://whos.{BLOCKED}ung.us/pingjs/
• Além do código no site acima, a Trend encontrou um ataque semelhante em https://www.{BLOCKED}php.com/x/toplu.php. Os pesquisadores da Trend acreditam que ambos foram criados pelo mesmo autor porque compartilham vários nomes de funções, bem como o client_id do aplicativo do Facebook.

Os pesquisadores da Trend Micro descobriram que o client_id envolvido neste malware era “2254487659”. Este é um aplicativo oficial da BlackBerry mantido pela BlackBerry.

A Trend Micro então contatou a BlackBerry sobre suas descobertas. Eles informaram à BlackBerry que os atacantes queriam usar a confiança no nome da BlackBerry e que o malware estava tentando roubar os tokens de acesso dos usuários, que poderiam ser usados para fazer solicitações às APIs do Facebook e ler informações do usuário ou publicar conteúdo no Facebook em nome da vítima. A BlackBerry emitiu esta declaração após a Trend contatá-los:

“O malware móvel usando a Exploração SOP do Android (Exploração de Bypass da Política de Mesma Origem do Android) é projetado para atingir usuários do Facebook, independentemente da plataforma do dispositivo móvel. No entanto, tenta tirar vantagem do nome de marca confiável da BlackBerry usando nosso aplicativo web do Facebook. A BlackBerry está continuamente trabalhando com a Trend Micro e o Facebook para detectar e mitigar este ataque. Observe que o problema não é resultado de uma exploração do hardware, software ou rede da BlackBerry.”

No momento, a Trend Micro, Facebook e BlackBerry estão trabalhando juntas para detectar o ataque e impedir que ele seja realizado contra novos usuários.

O bug SOP do Android existe desde setembro de 2014, e todos os dispositivos Android até o Android 4.4 KitKat são vulneráveis a essa falha. Existem milhões de smartphones Android rodando em versões mais antigas do sistema operacional Android que podem ser usados para explorar esse bug e realizar atividades ilícitas por criminosos cibernéticos. A maioria dos smartphones baratos roda em versões mais antigas do Android, facilitando o trabalho dos criminosos cibernéticos. Se você é proprietário de um smartphone Android, atualize seu smartphone para o mais recente Android 5.1 Lollipop o mais rápido possível. Se você ainda estiver usando um smartphone que roda em uma versão antiquada do Android, agora é hora de descartá-lo.